披着狼皮的羊——寻找惠普多款打印机中的RCE漏洞(13)

六、逆向工程固件签名验证
一旦对BDL文件的工作原理有了总体的了解，我们就开始检查固件更新过程和周围的安全控制。首先，我们只是在一个十六进制编辑器中检查惠普的固件更新文件，相关的文件类型是“.BDL”，有人指出，在文件末尾存在一个签名块：

这个签名块不在“ThinPrint”解决方案BDL中，这说明软件解决方案包和固件可能会以不同方式处理。
根据签名块中的信息判断，似乎正在使用该文件的行业标准签名验证，特别是使用SHA256的RSA。但是，正在使用安全加密算法并不意味着该文件有安全验证。一些常见的执行错误都可能导致签名验证不安全。
为了找出代码中签名验证执行的地方，我们上传一个仔细操作的固件文件到设备，注意不要以与ThinPrint解决方案相似的方式，使校验和或长度无效。进行到这里，从打印机的调试日志中产生了以下错误：

查看从打印机中提取的反编译代码，确定这个消息是在类文件HP.Mfp.Services.Installation.Fim.Fim中生成的：